基于沙箱的恶意样本检测方法、系统、主机、电子设备及存储介质技术方案

本发明专利技术实施例公开一种基于沙箱的恶意样本检测方法、系统、主机、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：对用户投入的可疑样本执行静态检测，确定所述可疑样本运行所需要的文件配置信息；获取客户机配置信息；根据所述文件配置信息及客户机配置信息搭建所述可疑样本运行所需要的运行环境配置，以模拟所述可疑样本真实运行环境；运行所述可疑样本，监控所述可疑样本运行过程中的行为信息；基于所述行为信息生成所述可疑样本的检测结果。本发明专利技术通过在沙箱中模拟可疑样本真实运行环境，便于对特定生产环系统开发的恶意软件进行有效检测；适用于恶意软件检测场景中，尤其是特定生产环系统开发的模块化恶意软件的检测。检测。检测。

【技术实现步骤摘要】
基于沙箱的恶意样本检测方法、系统、主机、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种基于沙箱的恶意样本检测方 法、系统、主机、电子设备及存储介质。

技术介绍

[0002]APT(Advanced Persistent Threat)组织为对攻击目标实施网络攻击与侵袭行 为，通常会针对某一场景下的生产环境系统进行前期信息探测，以根据了解到 的该生产环境系统的信息有针对性地开发相应的恶意软件。
[0003]然而，本申请的专利技术人在实现本专利技术创造的过程中发现：当前，常见沙箱 一般是通过其内置默认环境来模拟可疑样本的运行环境，所述运行包括宿主主 机的软硬件配置环境。但是针对服务于不同生产环境的客户机的运行环境配置 存在不同，致使较难对特定生产环境系统下开发的恶意软件(恶意样本的一种， 有时也直接称为恶意样本)进行有效检测。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种基于沙箱的恶意样本检测方法、系统、 主机、电子设备及存储介质，便于对特定生产环系统开发的恶意软件进行有效 检测。
[0005]为达到上述专利技术目的，采用如下技术方案：
[0006]第一方面，本专利技术实施例提供一种基于沙箱的恶意样本检测方法，其特征 在于，所述方法包括步骤：接收用户投入的可疑样本；对所述可疑样本执行静 态检测，确定所述可疑样本运行所需要的文件配置信息；以及，获取客户机配 置信息；根据所述文件配置信息及客户机配置信息搭建所述可疑样本运行所需 要的运行环境配置，以模拟所述可疑样本真实运行环境；运行所述可疑样本， 监控所述可疑样本运行过程中的行为信息；基于所述行为信息生成所述可疑样 本的检测结果。
[0007]可选地，所述文件配置信息包括：可疑样本运行所需要的依赖文件名、依 赖文件目录、依赖动态链接库和/或依赖软件加载信息。
[0008]可选地，所述根据所述文件配置信息及客户机配置信息搭建所述可疑样本 运行所需要的运行环境配置包括：将所述文件配置信息与沙箱预置环境进行匹 配，确定所述沙箱预置环境中是否存在相关的文件配置信息；若不存在，则从 目标客户机上获取相应的文件配置信息；将所述文件配置信息添加至所述沙箱 预置环境中，以搭建所述可疑样本运行所需要的运行环境配置。
[0009]可选地，所述运行所述可疑样本，监控所述可疑样本运行过程中的行为信 息包括：加载运行所述可疑样本，在所述可疑样本的运行过程中，监视所述可 疑样本内存信息；从所述可疑样本内存信息中获取所述可疑样本的进程行为信 息。
[0010]可选地，在所述从所述可疑样本内存信息中获取所述可疑样本的进程行为 信息
时，还包括：从所述可疑样本内存信息中获取所述可疑样本执行相应进程 行为信息所需要的运行环境配置；检测所述可疑样本执行相应进程是否调用或 依赖特定配置环境；该特定配置环境为所述可疑样本执行相应进程必须的环境 配置；判断所述特定配置环境是否存在于当前搭建的沙箱环境配置中；若否， 则中止所述可疑样本运行，根据预设迭代算法迭代执行从目标客户机获取的所 述可疑样本执行相应进程所需要的特定配置环境，以及恢复执行运行所述可疑 样本，直至所述可疑样本正常成功运行。
[0011]可选地，在所述可疑样本正常成功运行之后，所述监控所述可疑样本运行 过程中的行为信息还包括：检测是否存在进程正在进行收集系统信息、运行于 系统上的应用软件信息以及用户操作系统或应用软件的日志信息的操作行为； 记录所述操作行为，以根据所述操作行为生成所述可疑样本的检测结果。
[0012]第二方面，本专利技术还实施例提供一种基于沙箱的恶意样本检测系统，包括： 接收程序单元，用于接收用户投入的可疑样本；静态检测程序单元，用于对所 述可疑样本执行静态检测，确定所述可疑样本运行所需要的文件配置信息；以 及，获取程序单元，用于获取客户机配置信息；沙箱环境搭建程序单元，用于 根据所述文件配置信息及客户机配置信息搭建所述可疑样本运行所需要的运行 环境配置，以模拟所述可疑样本真实运行环境；运行程序单元，用于运行所述 可疑样本，监控所述可疑样本运行过程中的行为信息；生成程序单元，用于基 于所述行为信息生成所述可疑样本的检测结果。
[0013]第三方面，本专利技术还实施例提供一种恶意样本分析主机，所述主机上安装 有虚拟机，所述虚拟机用于：接收用户投入的可疑样本；对所述可疑样本执行 静态检测，确定所述可疑样本运行所需要的文件配置信息；以及，获取客户机 配置信息；根据所述文件配置信息及客户机配置信息搭建所述可疑样本运行所 需要的运行环境配置，以模拟所述可疑样本真实运行环境；运行所述可疑样本， 监控所述可疑样本运行过程中的行为信息；基于所述行为信息生成所述可疑样 本的分析结果。
[0014]第四方面，本专利技术实施例提供一种电子设备，包括：一个或者多个处理器； 存储器；所述存储器中存储有一个或者多个可执行程序，所述一个或者多个处 理器读取存储器中存储的可执行程序代码，运行与可执行程序代码对应的程序， 以用于执行第一方面任一所述的检测方法。
[0015]第五方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读 存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个 处理器执行，以实现第一方面任一所述的检测方法。
[0016]本专利技术实施例提供的基于沙箱的恶意样本检测方法、系统、主机、电子设 备及存储介质，当需要对特定生产环系统开发的恶意软件进行检测时，通过对 用户投入沙箱的可疑样本执行静态检测，确定所述可疑样本运行所需要的文件 配置信息；以及，获取客户机配置信息；根据所述文件配置信息及客户机配置 信息搭建所述可疑样本运行所需要的运行环境配置，这样，可以模拟所述可疑 样本的真实运行环境，从而便于对特定生产环系统开发的恶意软件进行有效检 测。
附图说明
[0017]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施 例或
现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述 中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0018]图1为本专利技术一实施例基于沙箱的恶意样本检测方法流程示意图；
[0019]图2为本专利技术另一实施例基于沙箱的恶意样本检测方法流程示意图；
[0020]图3为本专利技术再一实施例基于沙箱的恶意样本检测方法流程示意图；
[0021]图4为本专利技术一实施例基于沙箱的恶意样本检测系统架构示意框图；
[0022]图5为本专利技术电子设备的一个实施例架构示意框图。
具体实施方式
[0023]下面结合附图对本专利技术实施例进行详细描述。
[0024]应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实 施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前 提下所获得的所有其它实施例，都属于本专利技术保护的范围。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于沙箱的恶意样本检测方法，其特征在于，所述方法包括步骤：接收用户投入的可疑样本；对所述可疑样本执行静态检测，确定所述可疑样本运行所需要的文件配置信息；以及，获取客户机配置信息；根据所述文件配置信息及客户机配置信息搭建所述可疑样本运行所需要的运行环境配置，以模拟所述可疑样本真实运行环境；运行所述可疑样本，监控所述可疑样本运行过程中的行为信息；基于所述行为信息生成所述可疑样本的检测结果。2.根据权利要求1所述的检测方法，其特征在于，所述文件配置信息包括：可疑样本运行所需要的依赖文件名、依赖文件目录、依赖动态链接库和/或依赖软件加载信息。3.根据权利要求1或2所述的检测方法，其特征在于，所述根据所述文件配置信息及客户机配置信息搭建所述可疑样本运行所需要的运行环境配置包括：将所述文件配置信息与沙箱预置环境进行匹配，确定所述沙箱预置环境中是否存在相关的文件配置信息；若不存在，则从目标客户机上获取相应的文件配置信息；将所述文件配置信息添加至所述沙箱预置环境中，以搭建所述可疑样本运行所需要的运行环境配置。4.根据权利要求1或2所述的检测方法，其特征在于，所述运行所述可疑样本，监控所述可疑样本运行过程中的行为信息包括：加载运行所述可疑样本，在所述可疑样本的运行过程中，监视所述可疑样本内存信息；从所述可疑样本内存信息中获取所述可疑样本的进程行为信息。5.根据权利要求4所述的检测方法，其特征在于，在所述从所述可疑样本内存信息中获取所述可疑样本的进程行为信息时，还包括：从所述可疑样本内存信息中获取所述可疑样本执行相应进程行为信息所需要的运行环境配置；检测所述可疑样本执行相应进程是否调用或依赖特定配置环境；该特定配置环境为所述可疑样本执行相应进程必须的环境配置；判断所述特定配置环境是否存在于当前搭建的沙箱环境配置中；若否，则中止所述可疑样本运行，根据预设迭代算法迭代执行从目标客户机获取的所述可疑样本执行相应进程所需要的特定配置环境，以及恢复执行运行所述可疑样本，直至所...

【专利技术属性】
技术研发人员：张小雷，于泽研，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：